Windows Update for Business 展開サービスの前提条件

Windows Update for Business 展開サービスを使用して更新プログラムを展開するプロセスを開始する前に、前提条件を満たしていることを確認してください。

Azure と Microsoft Entra ID

• Microsoft Entra ID を持つ Azure サブスクリプション
• デバイスは Microsoft Entra 参加済みで、以下の OS 要件を満たしている必要があります。
  • デバイスには、 Microsoft Entra 参加済み または Microsoft Entra ハイブリッド参加済みがあります。
  • Microsoft Entra のみが登録されている (Workplace 参加済み) デバイスは、Windows Update for Business ではサポートされていません

Licensing

Windows Update for Business 展開サービスでは、デバイスのユーザーに次のいずれかのライセンスが必要です。

• Windows 10/11 Enterprise E3 または E5 (Microsoft 365 F3、E3、または E5 に含まれる)
• Windows 10/11 Education A3 または A5 (Microsoft 365 A3 または A5 に含まれる)
• Windows Virtual Desktop Access E3 または E5
• Microsoft 365 Business Premium

オペレーティング システムとエディション

• Windows 11 Professional、Education、Enterprise、Pro Education、または Pro for Workstations エディション
• Windows 10 Professional、Education、Enterprise、Pro Education、または Pro for Workstations エディション

Windows Update for Business 展開サービスでは、 一般提供チャネル上の Windows クライアント デバイスがサポートされています。

Windows オペレーティング システムの更新プログラム

• 更新を迅速化するには、クライアントの Update Health Tools が必要です。 ツールは、 KB4023057以降にインストールされます。 デバイスに Update Health Tools が存在することを確認するには:

  • フォルダー C:\Program Files\Microsoft Update Health Tools を探すか、「Microsoft Update Health Tools のプログラムの削除」を確認します。
  • 管理者として、次の PowerShell スクリプトを実行します。 Get-CimInstance -ClassName Win32_Product | Where-Object {$_.Name -match "Microsoft Update Health Tools"}

• Windows 診断データ収集の変更については、2023 年 1 月リリース プレビューの累積的な更新プログラムまたはそれ以降の同等の更新プログラムをインストールすることをお勧めします

診断データの要件

デプロイ スケジュール コントロールは常に使用できます。 ただし、人口に合わせて調整された独自の展開保護を利用し、ドライバーの 更新プログラムを展開するには、デバイスが診断データを Microsoft と共有する必要があります。 これらの機能の場合、少なくとも、展開サービスでは、デバイスがこれらの機能に対して必須レベル (以前は Basic と呼ばれる) で診断データを送信する必要があります。

Windows Update for Business レポートを展開サービスと組み合わせて使用する場合、次のレベルの診断データを使用すると、デバイス名をレポートに表示できます。

• Windows 11 デバイスのオプション レベル (以前は完全)
• Windows 10 デバイスの拡張レベル

アクセス許可

• Windows Update for Business 展開サービスの操作には、WindowsUpdates.ReadWrite.All が必要です
  • Windows Update 展開管理者などの一部のロールには、既にアクセス許可があります。

必要なエンドポイント

• 次のエンドポイントにアクセスできます。

• Windows Update エンドポイント

  • *.prod.do.dsp.mp.microsoft.com
  • *.windowsupdate.com
  • *.dl.delivery.mp.microsoft.com
  • *.update.microsoft.com
  • *.delivery.mp.microsoft.com
  • tsfe.trafficshaping.dsp.mp.microsoft.com

• Windows Update for Business 展開サービス エンドポイント

  • devicelistenerprod.microsoft.com
    • EU データ境界の devicelistenerprod.eudb.microsoft.com
  • login.windows.net
  • payloadprod*.blob.core.windows.net

• Windows プッシュ通知サービス: (推奨されますが、必須ではありません。このアクセスがないと、デバイスは更新プログラムを 1 日 1 回チェックするまで更新プログラムを迅速化できない可能性があります)。

  • *.notify.windows.com

制限事項

Windows Update for Business デプロイ サービスは、Windows 診断データを使用する Azure Commercial でホストされる Windows サービスです。 GCC テナントをお持ちのお客様は使用を選択することもできますが、Windows Update for Business 展開サービスは 米国政府コミュニティ コンプライアンス (GCC) の境界外にあります。 Microsoft 製品とサービスの GCC オファリングの一覧については、 Microsoft セキュリティ センターを参照してください。

Windows Update for Business デプロイ サービスは、Azure Government for Office 365 GCC High テナントと DoD テナントでは使用できません。

ドライバーのポリシーに関する考慮事項

サービスはコンテンツの承認を受け取ることができますが、デバイスのグループ ポリシー、CSP、またはレジストリ設定のため、コンテンツがデバイスにインストールされません。 場合によっては、組織は現在または将来のニーズに合わせてこれらのポリシーを具体的に構成します。 たとえば、組織はデプロイ サービスを通じて該当するドライバー コンテンツを確認したいが、インストールは許可しない場合があります。 この種の動作の構成は、特に組織のニーズの変化に伴うドライバー更新プログラムの管理を移行する場合に役立ちます。 次の一覧では、展開サービスを介した展開に影響を与える可能性があるドライバー関連の更新ポリシーについて説明します。

デバイスの Windows Update からドライバーを除外するポリシー

次のポリシーは、デバイスの Windows Update からドライバーを除外します。

• ドライバーを除外するポリシーの場所:
  • グループ ポリシー: \Windows Components\Windows Update\Do not include drivers with Windows Updates を に設定します enabled
  • CSP: ExcludeWUDriversInQualityUpdate が に設定されている 1
  • レジストリ: に設定HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ExcludeWUDriversFromQualityUpdates1
  • Intune: 更新リングが に設定されている Windows ドライバーの更新設定Block

展開サービスでの動作: ドライバーの除外ポリシーを持つデバイス。 ドライバー に登録され、展開サービスを使用して対象ユーザーに追加されます。

• 展開サービスに該当するドライバー コンテンツが表示されます
• 展開サービスから承認されたドライバーをインストールしません
  • ドライバーをブロックしているデバイスにドライバーが展開されている場合、展開サービスはドライバーが提供されていると表示され、レポートにはインストールが保留中であることが表示されます。

ドライバー更新プログラムのソースを定義するポリシー

次のポリシーでは、ドライバー更新プログラムのソースを Windows Update または Windows Server Update Service (WSUS) として定義します。

• 更新ソースを定義するポリシーの場所:
  • グループ ポリシー: \Windows Components\Windows Update\Manage updates offered from Windows Server Update Service\Specify source service for specific classes of Windows UpdatesDriver Updates オプションを に設定してenabledに設定しますWindows Update
  • CSP: SetPolicyDrivenUpdateSourceForDriverUpdates をソースとして Windows Update の 0 に設定する
  • レジストリ: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\SetPolicyDrivenUpdateSourceForDriverUpdates0に設定されます。 \AUでは、UseUpdateClassPolicySourceも に設定する必要があります1
  • Intune: 適用されません。 Intune では、Windows Update for Business を使用して更新プログラムを展開します。 Windows Update ポリシーのワークロードを Intune に設定した Configuration Manager の共同管理クライアントでも、Windows Update for Business が使用されます。

展開サービスでの動作: ドライバー に登録され、展開サービスを使用して対象ユーザーに追加される、これらの更新ソース ポリシーを持つデバイス。

• 展開サービスに該当するドライバー コンテンツが表示されます
• 展開サービスから承認されたドライバーをインストールします

デプロイ サービスの一般的なヒント

サービスで最適な結果を得るには、次の提案に従ってください。

• デバイスがプロビジョニングを完了するまで待ってから、サービスで管理します。 デバイスが Autopilot によってプロビジョニングされている場合は、プロビジョニングが完了した後 (通常は 1 日) にのみデプロイ サービスによって管理できます。

• 機能更新プログラムの遅延ポリシーを使用せずに、機能更新プログラムの管理にデプロイ サービスを使用します。 展開サービスを使用して、以前に機能更新プログラムの遅延ポリシーを使用していたデバイスの機能更新プログラムを管理する場合は、機能更新プログラムを管理する複数の条件を回避するために、機能更新プログラムの遅延ポリシーを 0 日に設定することをお勧めします。 機能更新プログラムの遅延ポリシーの値は、デバイスがエラーなしでサービスに登録されたことを確認してから 0 日後にのみ変更する必要があります。

• 異なるチャネルを使用して同じリソースを管理しないようにします。 Microsoft Graph API または PowerShell と共に Microsoft Intune を使用する場合、両方のチャネルを使用して同じリソースを管理する場合、リソースの側面 (デバイス、デプロイ、更新可能な資産グループなど) が上書きされる可能性があります。 代わりに、リソースを作成したチャネルを介してのみ各リソースを管理します。